我有 1 个 SSD 驱动器,分为 2 个分区,系统(Windows 10 Pro 20H2)位于 1(C),数据位于另一个(D)。此安装已 2 个月。我买了一个 TPM 芯片,它还没有放在主板上。
是否有可能在不进行全新安装的情况下追溯加密整个 SSD(C 和 D)?
从 Bitlocker 选项来看,我似乎只能在分区级别加密,而不能在 FDE 加密。我还希望能够使用 PIN 密码登录我的 Windows 会话并完成 Bitlocker 操作。
怎么办?谢谢
答案1
如果 TPM 在您的系统中有效,那么您可以先加密系统驱动器/分区。完成后,您可以加密多个辅助驱动器/分区并将其“链接”到系统驱动器。因此,启动后将直接自动解锁辅助驱动器。
关于登录:您可以在“无 PIN 的 TPM 模式”下使用 BitLocker,然后登录将保持当前状态。但此模式不太安全,因为存在使用插入的 PCIExpress 卡的攻击,这些攻击可以通过直接内存访问从内存(DMA 访问)读取 BitLocker 密钥。在较旧的系统上,甚至可以使用 Firewire 连接来实现这一点。现代 CPU/系统应该包含针对 DMA 攻击的保护措施,但我不确定在那种情况下效果如何。
如果您使用 TPM+PIN(最佳解决方案),那么您必须进行两次身份验证,第一次是在 Windows 启动 Bitlocker 登录之前,然后在启动常规 Windows 登录之后。
不管你做什么,都不要忘记打印出 Bitlocker 恢复密钥。如果 BIOS 中的某些内容发生变化,TPM 无法解封密钥,你必须输入恢复密钥才能让 Bitlocker 再次运行。因此,没有恢复密钥通常意味着数据完全丢失。
此外,在开始驱动器加密之前,请确保已在驱动器映像级别执行了完整备份 - 只需记住
没有后援 - 没有怜悯